Sebuah serangan supply chain serius baru-baru ini menargetkan plugin populer Smart Slider 3 Pro yang digunakan di WordPress dan Joomla. Berbeda dengan serangan biasa yang memanfaatkan bug, kali ini attacker berhasil menyusupi sistem update resmi dan menyebarkan versi plugin yang sudah disisipi malware.

Versi berbahaya 3.5.1.35 sempat tersedia melalui channel update resmi selama beberapa jam. Dalam periode singkat itu, banyak website yang tanpa sadar menginstal backdoor yang memungkinkan eksekusi kode jarak jauh, pembuatan akun admin tersembunyi, serta pencurian data. Artinya, attacker bisa mengambil alih website tanpa perlu login.

Yang membuat kasus ini berbahaya adalah sumbernya berasal dari update resmi. Jadi bahkan admin yang rajin update plugin pun tetap bisa jadi korban. Ini menunjukkan bahwa update tidak selalu berarti aman jika supply chain sudah terkompromi.

Payload malware yang disisipkan juga cukup canggih. Ia bisa bertahan di sistem, menjalankan perintah dari jarak jauh, serta menyembunyikan akses attacker dari dashboard admin. Jika website sempat menggunakan versi ini, sebaiknya dianggap sudah terkompromi sepenuhnya.

Versi aman 3.5.1.36 sudah dirilis untuk menggantikan versi berbahaya. Namun, hanya update saja tidak cukup. Pemilik website perlu melakukan audit keamanan, mengecek akun mencurigakan, serta memastikan tidak ada backdoor yang tertinggal.

Kesimpulannya, kasus ini jadi pengingat bahwa ancaman tidak hanya datang dari bug aplikasi, tapi juga dari jalur distribusi software itu sendiri. Supply chain attack seperti ini makin sering terjadi, sehingga penting untuk menerapkan monitoring dan security layer tambahan, bukan hanya mengandalkan update semata.

source: https://thehackernews.com/2026/04/backdoored-smart-slider-3-pro-update.html